【品葱备份】如果有一天品葱被ddos攻击了怎么办?
如果有一天品葱被ddos攻击了怎么办?
0人赞同 2人关注
12月前 ▫ 12月前修改过
赞 0 条评论 操作
7个回答
陌路者 | 已弃坑。两周登录一次。
44人赞同
我也在担心这个……不是如果有一天,而是必然会有这一天。
要有觉悟,完善好数据备份与灾难恢复的工作,随时准备应对强度最高的DDoS,对网站的内容及数据库做上几重备份,条件允许的话拉响警报实战演习一下。
魔高一尺道高一丈,世上过去有的和未来可能出现的网络攻击,都早已被安全专家全面地考虑过了,并已经体现在互联网安全规范与技术标准中,只要你按照他们教你的方法把工作做好,就没啥好担心的。
最糟糕的情况下,被黑客攻破服务器,也就是从互联网上消失一周,之后就又满血复活了。
//--------------------------
想到游戏里的一句箴言,如果你遇上了敌人,就说明你的路走对了。
只要我们还在将不公平公之于众,就会触及某些群体不得见光的利益,报复将随之而至……
但这是对我们工作的肯定,做好一切防护之后,在有备无患的前提下,把它视作一种荣誉去争取吧!
12月前
赞 44 13 条评论 操作
品葱二当家 | 品葱小小管理员 此号兼帮无...
28人赞同
的确,ddos是任何一个网站都应该考虑的问题,尤其是像品葱这样有很多敏感信息的网站。品葱虽然在墙外无法被勒令关闭,但是被当局ddos是非常可能的。先前就已经有GFW攻击Github的案例的~
品葱在防护ddos方面主要采用的策略就是——避:
品葱这种小虾米级别的网站是无法与动辄500Gbps的攻击抗衡的,品葱只有做好流量监控,一旦流量超出我们设定的阈值,品葱只能暂时下线了。
同时品葱也采用了一些第三方防护的措施,如在edge router上的服务。
另外品葱在防止被黑的方面也做了一些研究:
在任何用户输入的时候都仔细检查用户的输入,防止脚本注入之类。
服务器设置详细的防火墙规则,使攻击者很难攻破服务器。
然而高手众多,一旦被黑,品葱也有较好的数据备份和异地备份。正如前一个回答所说的,就算被黑,也会很快满血复活的~
众人拾柴火焰高。如果大家能献计献策,品葱必然感激不尽~再次感谢~
12月前 ▫ 12月前修改过
赞 28 12 条评论 操作
幻の大天使 |
9人赞同
比起 DDoS, 小弟更害怕品葱被有心人士渗透, 引导讨论
DDoS、封墙甚至强制关网, 最多就找个别的网, 甚至再开一个「新品葱」就好
可是后者能在不知不觉间影响品葱, 甚至让我们成为既得利益者的抬轿人而不自知
9月前
赞 9 2 条评论 操作
疏风 |
7人赞同
如果品葱被DDoS攻击了怎么办呢~答案是没有任何办法,只能下线,而且在对方停止攻击之前,上线也没有用。这不是勇气的问题,流量可是实实在在消耗的钱,品葱目前还是相当寒酸的。所以说少树敌多交朋友才是品葱的生存之道啊?
9月前 ▫ 9月前修改过
赞 7 1 条评论 操作
sagasoc | 条条大路通CS
5人赞同
看了一下品葱有用 CloudFlare ,对 ddos 和 CC 有一定防御能力吧。除此之外源站也可以使用一些抗攻击的机房。另外刚才打开品葱几次遇到 5xx 错误,不知道是不是 CC 攻击的影响。
有一个想法,就是遇到攻击(尤其是CC)时临时全站“静态化”,进入只读模式:所有的问题和回答全部导出为静态 HTML 文件,这时候没法进行提问、写回答、搜索等操作了,但保证了之前所有提问和回答可以被浏览。而且静态化之后相当于全站所有的内容都可以被 CDN 缓存了。 CloudFlare 的 always online 功能就是在源站挂了后使用 CDN 上缓存的内容进行显示,但是个人感觉由站点自主导出静态网页再上 CDN 会比自带的 always online 效果更好。
不知道能不能这样:维持一个独立的静态站点 backup.pin-cong.com 在备用的服务器上,然后 www.pin-cong.com 的主服务器每隔一段时间把全站静态导出给备用服务器(需要主备服务器间有内网连接,不然这流量有点大;或者差分同步?)。当主服务器被打挂(尤其是CC),直接 api 调用 CloudFlare 的 Page Rule,启用 www.pin-cong.com/* 302跳转到 backup.pin-cong.com/$1 。
想这样做的一个原因是,如果有人或组织突然心血来潮 ddos 或 cc 品葱,有可能是因为某个事件刚刚在品葱上贴出来了并且被大量转发。维持静态访问有助于事件的继续传播。
6月前 ▫ 6月前修改过
赞 5 4 条评论 操作
小扣柴扉 |
4人赞同
cat .access.log | awk -F " '{print $7}' | sort | uniq -c | sort -rn | head -n 300
得到访问最多的IP列表
通过vim的列编辑功能,限制这些ip的访问。
(300个是可以继续加大的,看最后一行的最小值)
iptables -I INPUT -s 218.66.51.197 -j DROP
但是这个方法对于百万个独立ip就有点力不从心了,同意还是走为上策,先down一会
12月前
赞 4 1 条评论 操作
不胜寒蝉 | 已弃坑。祝品葱早日成为“一...
4人赞同
比较常使用中小规模英语国家网站的人应该有注意,很多不少企业都在逐步部署第三方负责的DDoS保护服务(访问网站前会有一个网页缓冲加载,几秒后才会被转入正常网址),最常见的一个公司是CloudFlare,分别有免费、专业级、商务级和企业级套餐。在发展成熟且有财力的情况下,适当采用这类服务不失为一个选择。不过对于第三方服务有多大的底气对抗政府级的DDoS打击,其实个人还是抱怀疑态度。
离个题:以前不知道在哪里读到,中国共产党对Google进行的DDoS打击直接被淹没在全球海量的访问里了,没有造成过任何影响,Google也是之后才发现还有这事。此事件我没有查证,我也不是技术人员,但假设是真的,那么第三方服务提供商不太会有可能像Google一样强;毕竟我猜想,前者的存在,主要是防范较小规模的黑客,而不是政府支持的攻击。
---
修改:读到上面有一个答案下的评论指,品葱有使用CloudFlare的服务。若真是如此,当属未雨绸缪。
10月前 ▫ 10月前修改过
赞 4 6 条评论 操作
资料来源: 品葱
https://www.pin-cong.com/p/4272/
0人赞同 2人关注
12月前 ▫ 12月前修改过
赞 0 条评论 操作
7个回答
陌路者 | 已弃坑。两周登录一次。
44人赞同
我也在担心这个……不是如果有一天,而是必然会有这一天。
要有觉悟,完善好数据备份与灾难恢复的工作,随时准备应对强度最高的DDoS,对网站的内容及数据库做上几重备份,条件允许的话拉响警报实战演习一下。
魔高一尺道高一丈,世上过去有的和未来可能出现的网络攻击,都早已被安全专家全面地考虑过了,并已经体现在互联网安全规范与技术标准中,只要你按照他们教你的方法把工作做好,就没啥好担心的。
最糟糕的情况下,被黑客攻破服务器,也就是从互联网上消失一周,之后就又满血复活了。
//--------------------------
想到游戏里的一句箴言,如果你遇上了敌人,就说明你的路走对了。
只要我们还在将不公平公之于众,就会触及某些群体不得见光的利益,报复将随之而至……
但这是对我们工作的肯定,做好一切防护之后,在有备无患的前提下,把它视作一种荣誉去争取吧!
12月前
赞 44 13 条评论 操作
品葱二当家 | 品葱小小管理员 此号兼帮无...
28人赞同
的确,ddos是任何一个网站都应该考虑的问题,尤其是像品葱这样有很多敏感信息的网站。品葱虽然在墙外无法被勒令关闭,但是被当局ddos是非常可能的。先前就已经有GFW攻击Github的案例的~
品葱在防护ddos方面主要采用的策略就是——避:
品葱这种小虾米级别的网站是无法与动辄500Gbps的攻击抗衡的,品葱只有做好流量监控,一旦流量超出我们设定的阈值,品葱只能暂时下线了。
同时品葱也采用了一些第三方防护的措施,如在edge router上的服务。
另外品葱在防止被黑的方面也做了一些研究:
在任何用户输入的时候都仔细检查用户的输入,防止脚本注入之类。
服务器设置详细的防火墙规则,使攻击者很难攻破服务器。
然而高手众多,一旦被黑,品葱也有较好的数据备份和异地备份。正如前一个回答所说的,就算被黑,也会很快满血复活的~
众人拾柴火焰高。如果大家能献计献策,品葱必然感激不尽~再次感谢~
12月前 ▫ 12月前修改过
赞 28 12 条评论 操作
幻の大天使 |
9人赞同
比起 DDoS, 小弟更害怕品葱被有心人士渗透, 引导讨论
DDoS、封墙甚至强制关网, 最多就找个别的网, 甚至再开一个「新品葱」就好
可是后者能在不知不觉间影响品葱, 甚至让我们成为既得利益者的抬轿人而不自知
9月前
赞 9 2 条评论 操作
疏风 |
7人赞同
如果品葱被DDoS攻击了怎么办呢~答案是没有任何办法,只能下线,而且在对方停止攻击之前,上线也没有用。这不是勇气的问题,流量可是实实在在消耗的钱,品葱目前还是相当寒酸的。所以说少树敌多交朋友才是品葱的生存之道啊?
9月前 ▫ 9月前修改过
赞 7 1 条评论 操作
sagasoc | 条条大路通CS
5人赞同
看了一下品葱有用 CloudFlare ,对 ddos 和 CC 有一定防御能力吧。除此之外源站也可以使用一些抗攻击的机房。另外刚才打开品葱几次遇到 5xx 错误,不知道是不是 CC 攻击的影响。
有一个想法,就是遇到攻击(尤其是CC)时临时全站“静态化”,进入只读模式:所有的问题和回答全部导出为静态 HTML 文件,这时候没法进行提问、写回答、搜索等操作了,但保证了之前所有提问和回答可以被浏览。而且静态化之后相当于全站所有的内容都可以被 CDN 缓存了。 CloudFlare 的 always online 功能就是在源站挂了后使用 CDN 上缓存的内容进行显示,但是个人感觉由站点自主导出静态网页再上 CDN 会比自带的 always online 效果更好。
不知道能不能这样:维持一个独立的静态站点 backup.pin-cong.com 在备用的服务器上,然后 www.pin-cong.com 的主服务器每隔一段时间把全站静态导出给备用服务器(需要主备服务器间有内网连接,不然这流量有点大;或者差分同步?)。当主服务器被打挂(尤其是CC),直接 api 调用 CloudFlare 的 Page Rule,启用 www.pin-cong.com/* 302跳转到 backup.pin-cong.com/$1 。
想这样做的一个原因是,如果有人或组织突然心血来潮 ddos 或 cc 品葱,有可能是因为某个事件刚刚在品葱上贴出来了并且被大量转发。维持静态访问有助于事件的继续传播。
6月前 ▫ 6月前修改过
赞 5 4 条评论 操作
小扣柴扉 |
4人赞同
cat .access.log | awk -F " '{print $7}' | sort | uniq -c | sort -rn | head -n 300
得到访问最多的IP列表
通过vim的列编辑功能,限制这些ip的访问。
(300个是可以继续加大的,看最后一行的最小值)
iptables -I INPUT -s 218.66.51.197 -j DROP
但是这个方法对于百万个独立ip就有点力不从心了,同意还是走为上策,先down一会
12月前
赞 4 1 条评论 操作
不胜寒蝉 | 已弃坑。祝品葱早日成为“一...
4人赞同
比较常使用中小规模英语国家网站的人应该有注意,很多不少企业都在逐步部署第三方负责的DDoS保护服务(访问网站前会有一个网页缓冲加载,几秒后才会被转入正常网址),最常见的一个公司是CloudFlare,分别有免费、专业级、商务级和企业级套餐。在发展成熟且有财力的情况下,适当采用这类服务不失为一个选择。不过对于第三方服务有多大的底气对抗政府级的DDoS打击,其实个人还是抱怀疑态度。
离个题:以前不知道在哪里读到,中国共产党对Google进行的DDoS打击直接被淹没在全球海量的访问里了,没有造成过任何影响,Google也是之后才发现还有这事。此事件我没有查证,我也不是技术人员,但假设是真的,那么第三方服务提供商不太会有可能像Google一样强;毕竟我猜想,前者的存在,主要是防范较小规模的黑客,而不是政府支持的攻击。
---
修改:读到上面有一个答案下的评论指,品葱有使用CloudFlare的服务。若真是如此,当属未雨绸缪。
10月前 ▫ 10月前修改过
赞 4 6 条评论 操作
资料来源: 品葱
https://www.pin-cong.com/p/4272/
